CVE-2025-66909

Nome do Software Vulnerável e Versões Afetadas Versões do módulo Turms AI-Serving anteriores à v0.10.0

Descrição O software contém uma vulnerabilidade de negação de serviço por bomba de descompressão de imagem. A classe ExtendedOpenCVImage em ai/djl/opencv/ExtendedOpenCVImage.java utiliza a função imread() do OpenCV para carregar imagens sem validar dimensões ou contagem de pixels antes da descompressão. Um arquivo de imagem compactado manipulado (por exemplo, PNG) pode expandir para gigabytes de memória quando carregado, causando esgotamento de memória, um OutOfMemoryError e falha do serviço. Nenhuma autenticação é necessária se o serviço OCR estiver acessível publicamente.

Recomendações Versões anteriores à v0.10.0 devem ser atualizadas.